对于搜索结果,如果仅仅只能预览查看而不能提取,那么就无法将相关结果提供给第三方(如法院)作为证据或其它电子数据需求处理。
在Office 365的Exchange Online中,提供两种提取电子数据展示搜索结果的方案。分别是将就地电子数据展示搜索的结果复制到发现邮箱,以及将就地电子数据展示搜索的结果导出到PST文件。
一、复制就地电子数据展示搜索的结果到发现邮箱
在对搜索结果的数量和质量满意之后,可以将它们复制到发现邮箱。这一操作可以通过Exchange管理中心或PowerShell来完成。
1、使用EAC复制搜索结果
利用发现管理员账户登录EAC,并导航到“合规性管理”,在“就地电子数据展示和保留”列表中,选中估计并微调满意的就地电子数据展示搜索。点击放大镜搜索按钮,在下拉菜单中选择“复制搜索结果”。
在定义“复制搜索结果”页面中,可以进行相关复制内容和发现邮箱的设置。选项包括:
A、“包括不可搜索的项目”:不可搜索的项目是无法搜索的项目。不含可搜索内容的文件类型(例如图像或视频文件)不被视为不可搜索。选中此复选框以包括无法搜索的邮箱项目(例如,带无法被Exchange搜索索引的文件类型附件的邮件)。
B、“启用重复数据删除”:在搜索的一个或多个邮箱中找到多个实例时,重复数据删除可仅包括特定记录的单个实例,从而减小数据集。排除重复邮件可显著减少搜索结果中返回的邮件数,也可缩短检查邮件所需的时间。选中此复选框以排除重复的邮件。仅有邮件的单个实例将被复制到发现邮箱。
C、“启用完全日志记录”:默认情况下,仅当复制项目时才启用基本日志记录。可以选择完整日志记录以包含搜索返回的所有记录的有关信息。选中此复选框以在搜索结果中包含完整日志。
D、“在复制完成时向我发送邮件”:就地电子数据展示搜索可能可返回大量记录。将返回的邮件复制到发现邮箱可能需要较长时间。使用此选项可在复制过程完成时收到电子邮件通知。为了更方便地使用Outlook Web App进行访问,通知包含一个链接,该链接指向将邮件复制到的发现邮箱中的位置。选中此复选框以在搜索完成后收到电子邮件通知。
E、“将结果复制到此发现邮箱”:单击“浏览”以选择要复制搜索结果到其中的发现邮箱。由于发现邮箱可能包含敏感邮件内容,因此,建议审核并严格控制发现邮箱的邮箱权限。您可以根据需要创建其他发现邮箱。该选项默认被设置为“默认发现邮箱”。
完成相应选择后,点击“复制”按钮,启动搜索结果复制操作。
如果勾选了“在复制完成时向我发送邮件”,则在复制完成后,发现管理员将受到一封由Exchange系统发出的电子邮件,告知搜索复制已经完成,并在邮件中会显示相关摘要信息。
此时,在EAC中,可以看到该就地电子数据展示搜索的搜索状态被标识为了“搜索已成功”。并且给出了“结果”所在的发现邮箱,点击“打开”,可以访问该发现邮箱。
在发现邮箱中可以看到搜索到的邮件,并且能够看到邮件的详细信息。通过下载附件的形式,可以获得原始邮件。
注意,默认情况下,只有发现管理员才有权限访问,即使是授予了“Mailbox Search”权限的组织管理员也无权限访问发现邮箱。
2、使用PowerShell复制搜索结果
据之前介绍,利用PowerShell,使用New-MailboxSearch创建就地电子数据展示搜索时,会有两种情况。分别是创建估计搜索结果的就地电子数据展示搜索(即带有EstimateOnly参数的搜索),以及创建复制搜索结果到目标发现邮箱的就地电子数据展示搜索(即带有TargetMailbox参数的搜索)。
如果是复制搜索结果的就地电子数据展示搜索,可以直接使用Start-MailboxSearch启动复制搜索,并将结果复制到发现邮箱。
Start-MailboxSearch "2018年3月王五的机密邮件或绝密邮件"
Get-MailboxSearch "2018年3月王五的机密邮件或绝密邮件"
但是如果之前为了估计搜索结果,只创建了估计搜索结果的就地电子数据展示搜索。在评估和微调完成后,需要使用Set-MailboxSearch将其改为复制搜索结果的就地电子数据展示搜索。
New-MailboxSearch "2018年第一季度李四邮箱中包含机密邮件字样的内容" -StartDate "01/01/2018" -EndDate "03/31/2018" -SourceMailboxes "lisi" -SearchQuery '"机密邮件"' -EstimateOnly -IncludeUnsearchableItems
Start-MailboxSearch "2018年第一季度李四邮箱中包含机密邮件字样的内容"
Get-MailboxSearch "2018年第一季度李四邮箱中包含机密邮件字样的内容"
从EAC中,可以看到其搜索状态为“估计已成功”。
Set-MailboxSearch "2018年第一季度李四邮箱中包含机密邮件字样的内容" -EstimateOnly $false -TargetMailbox "Discovery Search Mailbox"
Start-MailboxSearch "2018年第一季度李四邮箱中包含机密邮件字样的内容"
Get-MailboxSearch "2018年第一季度李四邮箱中包含机密邮件字样的内容"
从EAC中,可以看到其搜索状态为“搜索已成功”。同时,也产生了搜索结果,并提供打开发现邮箱的途径。
二、将就地电子数据展示搜索的结果导出到PST文件
导出搜索结果到PST文件能够提供更加灵活的电子数据保存方案。一旦保存为PST文件,可以通过如Outlook之类的,兼容PST文件的客户端打开查看导出的内容。也可以方便将导出的内容以文件的形式提供给第三方(如法院)。
通过Exchange管理中心,能否方便地将就地电子数据展示搜索的结果,导出到PST文件。使用发现管理员账户登录EAC。导航到“合规性管理”,在“就地电子数据展示和保留”列表中选择需要导出的就地电子数据展示搜索。点击工具栏上的导出到PST文件按钮。
此时Exchange Online会要求下载并运行电子数据展示PST导出工具,点击“运行”,允许其运行。
电子数据展示PST导出工具中,通过“浏览”选择导出的PST文件放置的路径,以及是否“启用重复数据删除”或/和“包括不可搜索的项目”。点击“开始”按钮。
此时,电子数据展示PST导出工具会索要发现管理员权限的身份验证。
正确输入身份验证并通过后,导出操作将启动。根据搜索到的电子数据数量和大小不同该步骤持续的时间也不同。完成过后点击“Close”关闭电子数据展示PST导出工具。
最后,进入之前设置的存放PST的目录,可以看到已经生成了需要PST文件。